CISA推出Kubernetes强化测试工具

本月初，美国国家安全局 (NSA) 和美国网络安全与基础设施安全局 (CISA)发布了《Kubernetes强化指南》。该指南详细介绍了加强Kubernetes系统的建议，并提供了配置指南以最大限度地降低风险。主要操作包括扫描容器和Pod是否存在漏洞或错误配置，以尽可能低的权限运行容器和 Pod，以及如何使用网络分离、防火墙、强身份验证和日志审计。

为了保障指南的有效落地，CISA日前发布了与指南配套的测试工具——Kubescape，该工具基于OPA引擎和ARMO的姿态控制，可用于测试Kubernetes是否遵循NSA和CISA强化指南中定义的安全部署。用户可使用Kubescape测试集群或扫描单个YAML文件并将其集成到流程中。

Kubescape测试内容如下：

非根容器ASP站长网

不可变容器文件系统

特权容器

hostPID、hostIPC 权限

主机网络访问

allowedHostPaths字段

保护pod服务帐户令牌

资源政策

控制平面强化

外露仪表板

允许权限提升

配置文件中的应用程序凭据

集群管理员绑定

执行到容器

危险能力

不安全的能力

Linux加固

入口和出口被阻止

容器主机端口

网络政策

据了解，Kubernetes是一个应用较广泛的开源系统，可自动部署、扩展和管理在容器中运行的应用程序，通常托管在云环境中，并提供比传统软件平台更高的灵活性。

（编辑：焦作站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!